AHK RAT裝載機

安全研究人員已經發布了有關正在進行的攻擊活動的詳細信息，該攻擊活動最終將RAT有效載荷放置到受損的系統上。根據他們的發現，威脅參與者正在使用唯一的AutoHotKey（AHK）編譯腳本作為初始加載程序。惡意軟件威脅作為獨立的可執行文件被刪除，其中包含AHK解釋器，AHK腳本以及通過FIleInstall命令合併的其他文件。 AHK腳本語言代表AutoIt語言的一種分支，通常用於自動執行例行任務和模擬用戶交互。為了掩蓋其威脅工具，威脅參與者還將合法應用程序丟棄到了受感染的計算機上。

自推出以來，AHK RAT裝載機戰役已發展迅速，具有多個不同的攻擊鏈，每個攻擊鏈都變得越來越複雜，並獲得了新的功能。黑客最初部署VjW0rm和Houdini RAT，然後切換到njRAT ， LimeRAT和RevengeRAT，最終的RAT負載也表現出極大的多樣性。一個攻擊鏈使用了AHK RAT加載程序，但與該活動中的其他操作有所偏差，因此將AsyncRAT作為其最終有效載荷。

AHK RAT裝載機的一般特徵

AHK腳本採取的第一步是將合法應用程序放入受害者計算機上的％appdata％目錄中。然後，它將繼續將兩個文件傳遞到％programdata％目錄中-名為" conhost.exe"的啟動器和必須與之並存的清單文件。 conhost.exe文件是合法的應用程序，但被利用來通過路徑劫持來運行損壞的清單文件。然後，VBSSCript將最終建立並啟動最終的RAT有效負載。

隨後的攻擊鏈開始包括針對視音頻解決方案的更多技術。嘗試禁用Microsoft Defender引入了批處理腳本和指向該腳本的LNK文件。此外，威脅參與者通過新的VBScript試圖通過篡改受害者的HOSTS文件來阻止流行的反惡意軟件產品的通信。另一個AHK可執行文件的任務是進一步屏蔽RAT有效負載。

觀察到的修改和新技術的引入表明，威脅參與者在AHK RAT裝載程序背後的持久努力是為了避免被被動安全控件檢測到。